Seit wann gibt es die Regelung zur Auftragsdatenverarbeitung? Was soll das Ganze?
Bereits seit 2009 (!) fordert § 11 BDSG von Auftraggebern im Rahmen der Auftragsdatenverarbeitung, sich vor Beginn sowie im laufenden Auftragsverhältnis beim Auftragnehmer von der Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen zu überzeugen und einen schriftlichen Vertrag, der den Anforderungen des § 11 Abs. 2 BDSG genügt, abzuschließen. Ein Verstoß gegen diese Verpflichtung löst ein Bußgeld aus. Der Gesetzgeber hat die vertraglich zu vereinbarenden Bedingungen im BDSG festgelegt. Angesichts dessen überrascht es doch in der Praxis immer wieder, dass Auftraggeber als auch Auftragnehmer von dieser Verpflichtung keine Kenntnis haben.
Was ist bei Datenverarbeitung im Auftrag also genau zu beachten? Folgende kurz-FAQ soll helfen zu entscheiden, ob Sie sich mit dem Thema intensiver beschäftigen müssten!
Wer muss § 11 BDSG beachten?
Derjenige dessen Daten verarbeitet werden, also in der Regel ist der Auftraggeber ist datenschutzrechtlich in der Verantwortung und hat dafür Sorge zu tragen, dass ein Vertrag zur Auftragsdatenverarbeitung (kurz: ADV-Vertrag) geschlossen wird. Ihn treffen auch nur die Folgen bei Nichtbeachtung aus dem BDSG.
Müssen auch Auftragnehmer Auftragsdatenverarbeitungsverträge vorhalten?
Nein. Aber es ist gut sich auch als Dienstleister mit dem Thema zu beschäftigen, auf die Nachfrage des Kunden vorbereitet zu sein und einen eigenen Standardvertrag zu haben, um seinen Kunden einheitlich gegenübertreten zu können.
Was sind technische und organisatorische Maßnahmen?
Gem. § 9 BDSG sind Unternehmen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, verpflichtet angemessene technische und organisatorische Maßnahmen zu treffen, um den Datenschutz und die Datensicherheit zu gewährleisten. In der Anlage zu § 9 BDSG sind Maßnahmen beschrieben, die dabei berücksichtigt werden müssen.
Was bedeutet Auftragsdatenverarbeitung? Wann liegt das überhaupt vor?
Auftragsdatenverarbeitung bedeutet, dass ein Unternehmen weisungsgebunden mit personenbezogen Daten des Auftraggebers umgeht. Zum Beispiel ein Call-Center, dass die Kunden des Auftraggebers anruft und die Kundenzufriedenheit abfragt. Oder, wenn man externe Unternehmen mit der Versendung von Lohn- oder Gehaltsabrechnungen beauftragt oder wenn man Unternehmen beauftragt, die die Entsorgung z.B. von Datenträgern vornehmen oder personenbezogene Daten bei Cloud-Diensten abgelegt werden. Aber auch immer dann, wenn Wartungsverträge mit IT-Unternehmen zur Software- oder Hardwarewartung geschlossen werden.
Muss immer ein Vertrag über die Auftragsdatenverarbeitung zusätzlich geschlossen werden? Ich habe doch schon einen Vertrag über die Hauptleistung.
Ja, und zwar schriftlich.
Was muss der Vertrag zwingend regeln?
Mindestanforderungen kann man § 11 Abs. 2 BDSG, dort in den Punkten 1-10, entnehmen.
Was passiert, wenn gegen § 11 BDSG verstoßen wird?
Wer einen ADV-Vertrag auch nur unvollständig im Sinne des § 11 BDSG abschließt oder sich nicht vor Beginn der ADV von den TOMs beim Auftragnehmer überzeugt kann nach § 43 Abs. 1 Nr. 2b BDSG mit einem Bußgeld bis 50.000,-€ bestraft werden.
Gibt es kostenlose Musterverträge/ Vorlagen?
Ja. Z.B. beim GDD – auch auf englisch oder beim geschätzten Kollegen Hansen-Oest
Ich finde das Thema spannend, habe sonst auch keine Interessen (Freunde), wo finde ich mehr gute und aktuelle Informationen zu dem Thema?
Erforderlichkeit einer Vor-Ort-Kontrolle bei Auftragsdatenverarbeitung in einem Rechenzentrum vom 14.11.16 via Hansen-Oest
Auftragsdatenverarbeitung und Datenschutz-Grundverordnung vom 17.03.2016 via Datenschutzbeauftragter-Info
Datenschutz-Wiki der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
Datenübermittlung ins Ausland vom 18.8.2016 via Aufsichtsbehörde Niedersachen